Hızla gelişen bir siber suçlu varlık olan EnstryPthub, operasyonel güvenlik (OPSEC) başarısızlıklarının vahiyleri ve operasyonları için ChatGPT’ye geniş bir güvenin ardından yoğun bir inceleme altında kaldı.
Bu ortaya çıkan tehdit oyuncusu, fidye yazılımı kampanyaları, veri hırsızlığı ve EncryPtrat dahil gelişmiş kötü amaçlı yazılım araçlarının geliştirilmesi ile bağlantılıdır.
Bununla birlikte, operasyonel altyapılarındaki eleştirel hatalar, siber güvenlik araştırmacılarına taktikleri, teknikleri ve prosedürleri (TTP’ler) hakkında benzeri görülmemiş bilgiler sağlayarak faaliyetlerini ortaya koymuştur.
Opsec hataları: çift ucu keskin bir kılıç
EncryPthub’ın operasyonları bir dizi göze çarpan Opsec blunders nedeniyle tehlikeye atıldı.
Temel hatalar arasında çekirdek sunuculardaki dizin listelerinin etkinleştirilmesi, hassas kötü amaçlı yazılım yapılandırma dosyalarının ortaya çıkması ve parolaların birden çok hesapta yeniden kullanılması yer alıyor.
Bu turlar, araştırmacıların altyapıları ve kampanyaları hakkında hayati ayrıntıları ortaya çıkarmasına izin verdi.
Örneğin, veri eksfiltrasyonu için kullanılan telgraf bot yapılandırmaları erişilebilir ve iki faktörlü kimlik doğrulama (2FA) için yedekleme kodları, daha sonra kendi kötü amaçlı yazılımları tarafından açıklanan düz metin dosyalarında saklandı.
Ek olarak, EncryPthub, her ikisi için de aynı sistemleri kullanarak kişisel ve cezai faaliyetleri karıştırdı.
Outpost24’e göre, bu, kötü amaçlı yazılımları test ederken kişisel hesaplara giriş yapmayı ve kötü amaçlı amaçlar için meşru işlerden alan alanlarını yeniden kullanmayı içeriyordu.
Bu tür hatalar, araştırmacılara aktörün kimliği ve operasyonlarının daha net bir resmini sağladı.
Soruşturmada şaşırtıcı bir vahiy, EncryPthub’ın CHATGPT’nin geliştirme asistanı olarak geniş kullanımı idi.
AI chatbot, kötü amaçlı yazılım bileşenleri oluşturmak, komut ve kontrol (C2) sunucularını yapılandırmak ve hatta kimlik avı e-postalarını ve yeraltı forum yayınlarını yapılandırmak için kullanıldı.
EncryPthub ayrıca güvenlik açığı araştırması ve kod optimizasyonu için ChatGPT’ye güvenerek bu bulguları kampanyalarına entegre etti.
Dikkate değer bir örnekte, aktör ChatGPT’yi daha önce Microsoft’un Güvenlik Müdahale Merkezi’ne (MSRC) bir takma ad altında bildirdikleri güvenlik açıkları için istismar satan yayınları hazırlamak için kullandı.
Hem beyaz şapka araştırmacısı hem de siyah şapka hacker olarak bu ikili rol, EncryPthub’ın operasyonlarının karmaşıklığının altını çiziyor.
Saldırı Zinciri ve Uzlaşma Göstergeleri (IOCS)
Rapora göre, EncryPthub’ın çok aşamalı saldırı zinciri, WeChat, Google Meet ve Microsoft Visual Studio 2022 gibi meşru yazılım olarak gizlenmiş truva atlı uygulamalarla başlıyor.
Bu uygulamalar, mesajlaşma uygulamalarından, kripto para cüzdanlarından ve şifre yöneticilerinden kimlik bilgilerini çalmak için PowerShell komut dosyalarını dağıtır.
Sonraki aşamalar, Rhadamanthys stealer veya fidye yazılımı gibi ek yüklerin dağıtılmasını içerir.
EncryPthub’a bağlı temel IOC’ler şunları içerir:
- Kötü Yazılım Hashes: Örnekler içerir
6f346b7dffc0c3872923dd0c3b2ddb7966a10961(kripto.ps1) vecb41b440148b2d24d4877ab09514aa23a4253a17(Ram.ps1). - Alanlar: Kullanılan önemli alanlar arasında
0xffsec[.]netVevexio[.]io. - IPS: Kritik IP’ler içerir
206.166.251.99Ve82.115.223.231.
Hatalarına rağmen, EncryPthub, uyarlanabilirlikleri ve teknik uzmanlıkları nedeniyle müthiş bir tehdit olmaya devam ediyor.
EncryPtrat gibi araçların sürekli gelişmeleri, kötü amaçlı yazılım cephaneliğinin potansiyel olarak ticarileştirilmesini önermektedir.
Kuruluşlar, bu tür aktörlerin ortaya koyduğu riskleri azaltmak için uç nokta savunmalarını güçlendirmeye, IOC’leri izlemeye ve sağlam çok katmanlı güvenlik stratejileri uygulamaya istenmektedir.
EncryPthub’ın davası, hem savunucuları güçlendirebilen hem de saldırganları sağlayabilen siber güvenlik alanında yapay zeka gibi ileri teknolojilerin çift kenarlı doğasını vurgular.
Bu tehdit oyuncusu gelişmeye devam ettikçe, siber güvenlik topluluğunun uyanıklığı da olmalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!